Nová pravidla, která upravuje evropské nařízení GDPR, přinesou od května 2018 více práv i byrokracie pro všechny, kteří sbírají, zpracovávají i uchovávají osobní údaje. Pro firmy i státní úřady znamenají kompletní revizi práce s údaji a také nové povinnosti. "Cílem nařízení je chránit soukromí občanů zakotvením nových standardů nakládání s osobními údaji," popisuje Jiří Černý, ředitel pro právní záležitosti společnosti Microsoft.

Příležitost pro občany

Z novinek budou těžit zejména běžní lidé − klienti firem, zaměstnanci či pacienti. Evropské předpisy jim přiznávají nová práva nebo alespoň posílí ta, kterých se doposud mohli domáhat jen soudní cestou.

V první řadě by nově lidé měli přesně vědět, kdo sbírá jejich osobní údaje a co s nimi dělá. Zmizet by tak měly například souhlasy se zpracováním osobních dat skryté v hloubi všeobecných obchodních podmínek. Občané také budou moci příslušného správce dat žádat o bezodkladnou opravu chybných údajů. A pokud pomine důvod pro shromažďování dat, bude je muset firma či instituce ze své databáze smazat. Tak například kontaktní údaje zákazníka si podle nových pravidel může e-shop schovávat kvůli vyřízení objednávky a pak ještě během dvouleté záruční doby. Po jejím uplynutí by je ale měl ze své databáze odstranit.

Seriál HN k ochraně dat GDPR

◼ 3. 1. - Citlivé osobní údaje
◼ 10. 1. - GDPR a kampeličky
◼ 27. 12. - GDPR a marketing

Poskytovatelé už také nebudou smět odepřít přístup ke své službě nebo na svůj web jen proto, že jim uživatel nedá souhlas se zpracováním osobních údajů pro sekundární účel, jako je například zasílání marketingových nabídek. "Už také nebude možné 'koupit' souhlas za protislužbu," upozorňuje Kateřina Hrubešová ze Sdružení pro internetový rozvoj.

Pokud zákazník souhlas se zpracováním svých dat některému správci udělí, bude ho poté moci kdykoliv odvolat, a to stejně snadným způsobem, jako jej poskytl. Jednodušší bude pro občany také přechod k novému poskytovateli služeb, obchodníkovi, zaměstnavateli nebo třeba lékaři. Klient si bude moci nechat přenést všechny údaje, které původnímu správci poskytl na základě souhlasu nebo kvůli plnění smlouvy, ale také ty údaje, které o něm organizace nasbírala na základě jeho aktivit při používání služby nebo zařízení. Jde například o lokalizační údaje z aplikace typu Google Maps.

Už by tak nemělo docházet k situacím, kdy uživatel váhá se změnou služby jen proto, že by odchodem od starého poskytovatele přišel o důležitá data, například údaje v e-mailovém kalendáři, nebo by je musel pracně přepisovat.

Příležitost pro inovace

Pro firmy, které s daty pracují, znamená příprava na novinky práci navíc. Musí kvůli nim měnit smlouvy, vnitřní předpisy i postupy. "V některých společnostech bude potřeba i změna celého IT systému či datové architektury," upozorňuje viceprezidentka Svazu průmyslu a dopravy ČR Milena Jabůrková. A to si žádá finanční investice. V největších firmách budou šplhat do stovek milionů korun. Celou českou ekonomiku pak budou nová pravidla stát sedm až deset miliard korun, odhadla poradenská společnost Deloitte.

Přesto se dá na přicházející evropská pravidla pohlížet jako na příležitost. "Aktualizovaný regulační rámec ochrany osobních údajů je logickou součástí nové éry, v níž se data stávají elektřinou, jež pohání byznys. Posílení ochrany občanů je nezbytným předpokladem pro nastolení důvěry. Pokud budou inovace stavět na těchto pravidlech a získají důvěru mezi podnikateli a občany, stanou se motorem produktivity," vítá změny Jiří Černý s tím, že podnikatelé, kteří budou mít jednotnou strategii pro využívání, řízení a správu dat, se stanou hybnou silou růstu. "A to nejen v příštích několika letech, ale budou prosperovat i v následujících dekádách. A právě zde leží obrovská příležitost pro všechny organizace, které dnes do agendy kolem GDPR investují hromadu času, energie a peněz," dodává Černý.

Příležitost pro úspory

Podle Martina Hladíka z poradenské společnosti KPMG znamená příprava na nová evropská pravidla ochrany osobních údajů příležitost, jak si dát do pořádku a zefektivnit vnitřní procesy. "U větších firem jsme schopni identifikovat několik set různých nesouladů s GDPR, kterými se musí zabývat. Je potřeba přemýšlet, jak to uchopit. Když budou společnosti při přípravě na nařízení rozumně vybírat klíčové nesoulady a dílčí řešení, tak se dá odbourat možná až 60 procent problémů," říká Hladík s tím, že lze ušetřit také na takzvaných synergických oblastech.

"Když máte společnost, která má více byznysových linek, tak řeší stále ty samé problémy. Některé věci se vyplatí řešit současně, nemá cenu, aby se tím každé oddělení zabývalo zvlášť znovu a znovu. Je tu obrovský překryv řešení, zhruba polovina," popisuje Hladík. Další oblastí, která pomůže zefektivnit přípravy, je podle něj IT. "Ve velkých firmách si žije IT svým způsobem. Když jim dáte 'udičku' a řeknete: Tady je GDPR, tak vymyslí spoustu fantastických řešení," dodává Martin Hladík.

Květnem to jen začíná

"Proces dosahování souladu s novými pravidly by měl být pro organizace nejen nechtěnou povinností, ale hlavně impulzem a prostorem k tomu, aby se zamyslely nad svou budoucí datovou strategií. To jim umožní odhalit nové příležitosti a nové zdroje příjmů," říká Jiří Černý s tím, že GDPR pomůže společnostem úspěšně růst, inovovat a soutěžit. Podle Hladíka zase není ochrana dat problém, který společnosti definitivně vyřeší do května, ale kterým se budou zabývat i později. "Má smysl vědět, kde všude mají firmy 'datové díry'. Proto je důležité skutečně komplexně projít firmu a zmapovat si veškeré dílčí problémy," uzavírá.

Související